Oktaのライセンス
私が分かる範囲で↓のライセンスについてざっくり説明していきます。
- Single Sign-On
- Multi-factor Authentication
- Adaptive Multi-factor Authentication
- Lifecycle Management
- Univarsal Directory
↓については触ったことないのでほぼ書きません。
- API Access Management
- Advanced Server Access
- Access Gateway
- Workflows
- Identity Governance
Single Sign-On
- Okta Integration Network 掲載アプリとの簡単な連携
- Okta Integration Network (参考1)に掲載されている各種SaaSについて、簡単な操作で連携することができるようになります。
- 掲載されていないようなサービス(自社開発のWebサービスも含む)であっても、テンプレートアプリを利用することで、SWA/SAML/OIDCなど様々な方法で連携することができるようになります。
- Okta Verify を利用したMFA
- スマホアプリ「Okta Verify」を利用してTOTPによる追加認証を設定できます。
- また、PC用の「Okta Verify」を利用することで、簡単なデバイス認証のようなことができるようになります。
- AD/LDAPとの連携
- ADやLDAPにエージェントをインストールすることで、既存のアカウントをOktaに同期することができます。
- もちろんOktaからAD/LDAPにアカウントを連携することも可能なので、どのような構成にするかはフェーズにあわせてしっかり検討しましょう。
- AD/LDAPでスキーマを拡張して利用している場合、Oktaではそのまま利用できない可能性があります。
- Oktaのユーザープロファイルを拡張したい場合は、Universal Directory を検討しましょう。
- SSOとAdaptive SSOの違い
- Single Sign-On ライセンスには SSO と Adaptive SSO の2種類があります。
- 私はAdaptive SSOを利用したことはありませんが、Oktaのサイトを簡単に見る限り「Contextual access management」の部分が差分となっているようです。
- アクセス元端末のロケーションやデバイス、ネットワークなど、過去にアクセスされた際の履歴から不審な点を検出してアクセス可否を制御する機能です。
- 例えば、3時間前に東京からアクセスがあったのに今回のアクセスはアメリカからになっており、物理的に移動が不可能なため同一人物のアクセスとは推定できない場合など。
- 「Contextual access management」は Adaptive MFA のライセンスでも利用できるため、どちらにすべきかはちゃんと検討しましょう。
- 所感
- 利用しているSaaSも少なく、MFAはTOTPだけでいいのであればSSOライセンスのみで問題ないと思います。
- 利用SaaSが多くてアカウント管理が大変、TOTPはコード入力するの大変、MDMと連携したいなどあれば後述の Multi-Factor Authentication や Lifecycle Management ライセンスを検討しましょう。
Multi-factor Authentication
- SSOライセンスのみではできないMFA機能を利用可能
- Okta Verify Push
- Okta Verifyでプッシュ通知を利用することができるようになります。
- TOTPだと毎回コードを入力しなければならず大変ですが、スマホでタップするだけで良くなります。
- ある程度のセキュリティを確保しつつ、ユーザー側への負荷を抑えることができるので結構おすすめ。
- SMS/Voice
- ログイン時にSMSや電話で追加の認証コードを受け取る方法を利用できるようになります。
- Okta Verify Push
- 生体認証との連携
- Apple TouchID や Window Hello と連携することができるようになります。
- MFAとAdaptive MFAの違い
- Adaptive MFA ではMDM製品との連携ができるようになります。
- Intune や Jamf を利用しており、インベントリ情報をOktaでの認証・認可に利用したい場合はAdaptive MFAを検討しましょう。
- 所感
- ↑にも記載の通り、MDMとの連携を考えるならAdaptive MFA、そうでなければMFAで十分なのかも。
Lifecycle Management
- アカウント連携
- SCIMによるプロビジョニングを利用できるようになります。
- Okta Integration Network の中でも、SCIM(System for Cross-domain Identity Management) については Lifecycle Management のライセンスがないと利用できません。
- グループ連携
- Oktaに定義したグループをサービス側に同期して利用できるようになります。
- 例えば、グループを利用して権限管理できるようなサービスの場合、Oktaでグループのメンバーを操作するだけでサービスの権限を管理できるようになります。
- Universal Directoryとの関係
- Lifecycle Management のライセンスは後述のUniversal Directoryのライセンスを前提としているため、そちらの契約も必要となります。
- 所感
- アカウント管理負荷を大幅に軽減してくれる機能でもあるので、利用サービスが多い場合は検討してみるとよいと思います。
Universal Directory
- ユーザープロファイルの拡張
- ユーザープロファイルの属性値をカスタムできるようになります。
- 他ディレクトリをソースとしたプロファイルの統合
- ADやLDAPからユーザーを同期し、プロファイルの属性値単位でどのディレクトリをソースとするかを決定できるようになります。
- 正直複雑化するのであまり使わない方がよいのではとは思っています。
- Lifecycle Managementと組み合わせて、HRシステムから同期したデータをソースとできるのであればそれが良いのでは。
- 所感
- Lifecycle Managementの前提として購入するので良いと思います。
その他
- API Access Management
- APIでのアクセス権限を通常より細かく制御できるようになるらしい。
- Advanced Server Access
- サーバーへのログイン認証をOktaの統合できるらしい。
- Access Gateway
- ゲートウェイサーバーを設置することで社内のオンプレアプリに接続できるようになるらしい。
- Workflows
- GUIベースのノーコード自動化ツール。
- Okta内のイベントをトリガーに処理を実行できるのが最大のメリットだと思う。
- Identity Governance
- リクエストに応じた一時的なアクセス権の承認などができるようになるらしい。
参考
- Okta Integration Network カタログ
- Okta社の価格サイトに各ライセンスと機能の一覧があるのでこちらもどうぞ。